Konfigurieren von Zugriffsrichtlinien für Performance Insights

Für den Zugriff auf Performance Insights muss ein Prinzipal über die entsprechenden Berechtigungen von AWS Identity and Access Management (IAM) verfügen. Sie können den Zugriff wie folgt erteilen:

• Fügen Sie die verwaltete Richtlinie AmazonRDSPerformanceInsightsReadOnly an einen Berechtigungssatz oder eine Rolle an.

• Erstellen Sie eine benutzerdefinierte IAM-Richtlinie und fügen Sie diese an einen Berechtigungssatz oder eine Rolle an.

Wenn Sie bei der Aktivierung von Performance Insights einen vom Kunden verwalteten Schlüssel angegeben haben, stellen Sie sicher, dass die Benutzer in Ihrem Konto über die Berechtigungen kms:Decrypt und kms:GenerateDataKey für den KMS-Schlüssel verfügen.

Anfügen der AmazonRDSPerformanceInsightsReadOnly-Richtlinie an einen IAM-Prinzipal

AmazonRDSPerformanceInsightsReadOnly ist eine AWS-verwaltete Richtlinie, die Zugriff auf alle schreibgeschützten Operationen der Performance-Insights-API von Amazon RDS gewährt. Derzeit sind alle Operationen in dieser API schreibgeschützt.

Wenn Sie AmazonRDSPerformanceInsightsReadOnly an einen Berechtigungssatz oder eine Rolle anfügen, kann der Empfänger Performance Insights mit anderen Konsolenfunktionen verwenden.

Erstellen einer benutzerdefinierten IAM-Richtlinie für Performance Insights

Für Benutzer, die nicht über die AmazonRDSPerformanceInsightsReadOnly-Richtlinien verfügen, können Sie den Zugriff auf Performance Insights gewähren, indem Sie eine benutzerverwaltete IAM-Richtlinie erstellen oder ändern. Wenn Sie diese Richtlinie an einen IAM-Berechtigungssatz oder eine Rolle anfügen, kann der Empfänger Performance Insights verwenden.

Erstellen eine benutzerdefinierten Richtlinie

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Policies aus.

3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

4. Wählen Sie auf der Seite Create Policy (Richtlinie erstellen) die Registerkarte „JSON“ aus.

5. Kopieren Sie den folgenden Text und ersetzen Sie us-east-1 mit dem Namen Ihrer AWS-Region und 111122223333 mit Ihrer Kundenkontonummer.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBInstances",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBClusters",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:DescribeDimensionKeys",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetDimensionKeyDetails",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetadata",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceDimensions",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           }
       ]
   }

6. Wählen Sie Review policy (Richtlinie prüfen).

7. Geben Sie einen Namen und optional eine Beschreibung für die Richtlinie an und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Sie können die Richtlinie nun an einen Berechtigungssatz oder eine Rolle anfügen. Das folgende Verfahren setzt voraus, dass Sie für diesen Zweck bereits einen Benutzer zur Verfügung haben.

So fügen Sie die Richtlinie an einen Benutzer an

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

3. Wählen Sie einen vorhandenen Benutzer aus der Liste aus.

   Wichtig

   Um Performance Insights verwenden zu können, benötigen Sie zusätzlich zur benutzerdefinierten Richtlinie Zugriff auf Amazon RDS. Beispielsweise bietet die vordefinierte Richtlinie AmazonRDSPerformanceInsightsReadOnly schreibgeschützten Zugriff auf Amazon RDS. Weitere Informationen finden Sie unter Verwalten des Zugriffs mit Richtlinien.

4. Wählen Sie auf der Seite Übersicht die Option Add permissions (Berechtigungen hinzufügen) aus.

5. Wählen Sie Attach existing policies directly (Vorhandene Richtlinien direkt zuordnen). Geben Sie in Suche die ersten Zeichen Ihres Richtliniennamens ein, wie nachfolgend gezeigt.

   

6. Wählen Sie Ihre Richtlinie und wählen Sie anschließend Nächster Schritt: Prüfen.

7. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

Konfigurieren einer AWS KMS-Richtlinie für Performance Insights

Performance Insights verwendet eine AWS KMS key zur Verschlüsselung sensibler Daten. Wenn Sie Performance Insights über die API oder die Konsole aktivieren, haben Sie folgende Möglichkeiten:

• Wählen Sie den Standardwert Von AWS verwalteter Schlüssel aus.

  Amazon RDS verwendet die Von AWS verwalteter Schlüssel für Ihre neue DB-Instance. Amazon RDS erstellt einen Von AWS verwalteter Schlüssel für Ihr AWS-Konto. Ihr AWS-Konto hat einen anderen Von AWS verwalteter Schlüssel für Amazon RDS für jede AWS-Region.

• Wählen Sie einen kundenverwalteten Schlüssel.

  Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, benötigen Benutzer in Ihrem Konto, die die Performance Insights API aufrufen, die Berechtigungen kms:Decrypt und kms:GenerateDataKey für den KMS-Schlüssel. Sie können diese Berechtigungen über IAM-Richtlinien konfigurieren. Wir empfehlen jedoch, dass Sie diese Berechtigungen über Ihre KMS-Schlüsselrichtlinie verwalten. Weitere Informationen finden Sie unter Verwenden von Schlüsselrichtlinien in AWS-KMS.

Das folgende Beispiel zeigt, wie Sie Ihrer KMS-Schlüsselrichtlinie Anweisungen hinzufügen können. Diese Anweisungen erlaubt den Zugriff auf Performance Insights. Je nachdem, wie Sie den KMS-Schlüssel verwenden, möchten Sie möglicherweise einige Einschränkungen ändern. Bevor Sie Ihrer Richtlinie Anweisungen hinzufügen, entfernen Sie alle Kommentare.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS instance
{
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" : {
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace region with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific RDS instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}